Vernetzte Medizingeräte: 150 Schwachstellen bei IT-Sicherheitscheck identifiziert

Zehn vernetzte medizinische Geräte aus fünf Kategorien hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf IT-Sicherheit getestet. Darunter z.B. Insulinpumpen und Herzschrittmacher. Hersteller und Ärzte können aus dem Projekt über die Testergebnisse hinaus Praxisrelevantes mitnehmen.

Die Norwegerin Marie Moe hatte gerade eben noch ihren Orangensaft getrunken, als sie sich auf einmal auf dem Fußboden umgeben von zerbrochenem Glas und verschüttetem Saft wiederfand. Sie hatte keine Ahnung, was ihr passiert war und warum. Im Krankenhaus erfuhr sie, dass sie ein Problem mit dem Herz hat und ihr ein Schrittmacher eingesetzt werden musste.

Das Spezielle an Marie Moe: Sie hat einen Doktortitel in Informationssicherheit und kümmerte sich z.B. einige Jahre um Cyberangriffe gegen Norwegens kritische Infrastruktur. Seit diesem Vorfall beob­achtet sie auch ihre eigene kritische Infrastruktur: den implantierten Schrittmacher.

weiterlesen auf medical-tribune.de

Zahl der MVZ in Private-Equity-Besitz auch 2020 gestiegen

Die Einkaufstour von Privat-Equity-Investoren in der Gesundheitswirtschaft dauert ungebrochen an, speziell in der ambulanten Versorgung und der Pflege. Manche Einrichtungen erleben schon ihre ersten und zweiten Wiederverkäufe.

Mit mindestens 164 hat die Zahl der getätigten Käufe seitens Private-Equity-Unternehmen in Gesundheits- und Pflegeeinrichtungen im vergangenen Jahr einen neuen Höhepunkt erreicht. Wie viele einzelne Einrichtungen und MVZ dabei ihren Besitzer gewechselt haben, weiß allerdings niemand. Selten betrifft ein Kauf nur einen Standort. Von einem Kauf vor ein paar Jahren ist etwa bekannt, dass damit 160 Pflegeheime ihren Besitzer gewechselt haben. 

Dass die Situation unübersichtlich ist und es keine belastbaren Zahlen gibt, liegt in erster Linie an fehlenden Veröffentlichungspflichten. Systematische Recherchen, die versuchen, Zusammenhänge herzustellen, scheitern früher oder später an abenteuerlich verschlungenen Konzernstrukturen und verlieren ihre letzte Spur in den Steueroasen, in denen sich die Fonds verstecken.

weiterlesen auf medical-tribune.de

Neuer Tarifvertrag für MFA – Gehaltssprung von 400 Euro möglich

In bestimmten Konstellationen kann der seit dem 1. Januar 2021 geltende Tarifvertrag für MFA zur Folge haben, dass Mitarbeitenden beachtliche Gehaltszuwächse zustehen. Ein Grund zum Ärgern?

Ein Leser aus Süddeutschland hat sich an Medical Tribune gewandt mit einer Frage zum neuen Gehaltstarifvertrag für Medizinische Fachangestellte. Ende 2020 habe er seiner Mitarbeiterin der Tätigkeitsgruppe V noch 3364,93 Euro Brutto monatlich überwiesen. Seine Frage: Ob er der Mitarbeiterin jetzt tatsächlich 3761,82 Euro zahlen müsse, wie im Vertrag aufgeführt? Das sei keine Erhöhung von 6 %, wie von den Tarifparteien angekündigt, sondern von 12 %! 

So wird die Erfahrung der MFA auf einmal aufgewertet

Die Rechnung des Arztes ist richtig. Verantwortlich für diesen deutlichen Gehaltssprung ist eine der anderen Neuerungen, die der jetzt geltende Tarifvertrag über die 6 % Gehaltssteigerung hinaus mit sich bringt. Diese bedeutet nämlich für die Mitarbeiterin, die schon 30 Berufsjahre vorzuweisen hat, dass sie nicht mehr wie seit ihrem 17. Berufsjahr in der fünften Stufe eingruppiert wird. Durch die Neueinführung weiterer Berufsjahresgruppen findet sie sich auf einmal in der achten Gehaltsstufe wieder, die mit dem 29. Berufsjahr beginnt. 

weiterlesen auf medical-tribune.de

Datenpanne bei Online-Terminbuchungssystem

IT-Sicherheitsexperten hatten offenbar über ein Online-Buchungssystem für Arzttermine Zugang zu Millionen Namen, Telefonnummern und geplanten Arztkontakten. Verantwortlich für die behördliche Meldung der Datenschutzverletzung ist der Auftraggeber.

Per Klick zum Arzttermin – Patienten und Praxen freuen sich über die gesparten Telefonate. Wer denkt daran, dass schon der Arztbesuch als solcher eine zu schützende Information ist: Der Gang zur Psychologin, zum Schönheitschirurgen oder ins Kinderwunschzentrum ist nichts für die Öffentlichkeit, und Arbeitgeber oder Versicherungen sollten über die verschiedenen Arztbesuche keinen Einblick in die Krankheitsgeschichte bekommen. Sie hatten ihn aber, zumindest theoretisch: Sicherheitsexperten berichteten Ende 2020 auf dem Kongress des Chaos Computer Clubs (CCC), wie sie Zugang zu Millionen Terminvereinbarungen inklusive Arzt- und Patientendaten bekamen. Wie das?

weiterlesen auf medical-tribune.de

Videoaufzeichnung vom Kongress „Remote Chaos Experience“ des Chaos Computer Clubs, 2020
> Tut mal kurz weh – Neues aus der Gesundheits-IT


Social Distancing – epidemiologischer Ausdruck beschreibt gesellschaftliche Missstände

Welche Auswirkungen die Pandemie auf die Gesellschaft haben wird, können wir noch nicht wissen. Zukunftsforscher sprechen auch von neuen Chancen durch die Krise. In der Lebensrealität nicht weniger Menschen sieht es aber nach genau dem Gegenteil aus.

Im März appellierte der Deutsche Schriftstellerverband PEN an Politik und Medien, den Ausdruck „soziale Distanz“ durch Begriffe wie physische Distanz oder körperlichen Abstand zu ersetzen. Soziale Distanz klinge wie ein Begriff aus dem Wörterbuch des Neoliberalismus, sagte PEN-Präsidentin Regula Venske. Dabei sei jetzt soziale Nähe, Kooperation und Verantwortung füreinander gefragt. „Man mag sagen, dass es dringlichere Probleme gibt, als Worte auf die Goldwaage zu legen. Aber Sprache prägt unser Denken und unser Verhalten“, so Venske.

Auch Dr. Roman Wittig vom Max-Planck-Institut für evolutionäre Anthropologie in Leipzig findet „Social Distancing“ wenig passend und schlägt „Spatial Distancing“ vor. „Räumlich müssen und sollten wir zwei Meter Abstand halten. Aber ,socially‘ müssten wir im Moment besonders eng sein und uns gegenseitig unterstützen, schließlich befinden wir uns aufgrund der Pandemie in einer permanenten Stresssituation“, sagt er. 

Integrative Appelle trotz andauernder Stresssituation

Und, haben wir das getan, haben wir uns gegenseitig unterstützt? Wer ist überhaupt wir? Der Blick auf die Gesellschaft schien im Laufe dieses Corona­jahres immer widersprüchlicher. Dabei schien das Land zunächst einen integrativeren Umgang mit der Krise gefunden zu haben als viele andere Gesellschaften.

weiterlesen auf medical-tribune.de

Coronaskeptiker und Impfgegner in der Sprechstunde – was hilft im Umgang mit ihnen?

Der Psychologe Philipp Schmid berät Ministerien und Gesundheitsexperten u.a. im Umgang mit Impfgegnern in öffentlichen Debatten. Eine Face-to-Face-Begegnung in der Sprechstunde verlangt ein anderes Vorgehen. Bestimmte Strategien im Gespräch können helfen.

Herr Schmid, was haben lmpfgegner und Pandemieleugner gemeinsam?

Auf jeden Fall eine Grundhaltung, die auf Wissenschaftsleugnung beruht – mal mehr, mal weniger ausgeprägt. Was dem Gegenüber dabei als Erstes auffällt, ist die sehr ähnliche Rhetorik der beiden Gruppen. Zu den typischen Techniken des Wissenschaftsleugnens gehört z.B. das Zitieren falscher Experten. Oder auch, unmögliche Erwartungen anzustellen, etwa, dass eine Impfung zu 100 % sicher sein soll oder wissenschaftliche Daten konsistent sein müssen, was gegen die Idee der Wissenschaft selbst geht. Dann gibt es die Technik der falschen Logik, z.B. die Grundannahme: Was natürlich ist, ist gut, und was menschengemacht ist, ist nicht gut. Und dann gibt es noch die Technik des Selektierens bzw. Cherry Picking: Man nimmt sich einzelne Daten heraus, die das eigene Argument stützen, und ignoriert den Rest. Das wird zurzeit gerne gemacht, wenn es um die Masken geht. Man ignoriert einfach die Größe der Evidenz, die die Effektivität von Masken untermauert.

Welche Interventionsmöglichkeit hat der Arzt, der sich in seiner Sprechstunde wissenschaftsfeindlichen Patienten gegenüber sieht?

Die One-size-fits-all-Lösung gibt es leider nicht. Jede Lösung muss maßgeschneidert sein.

weiterlesen auf medical-tribune.de

Wenn die elektronische Patientenakte nicht DSGVO-konform ist – können Ärzte Probleme bekommen?

Nach Ansicht des Bundesdatenschutzbeauftragten verstößt die ePA gegen europäischen Datenschutz. Was heißt das für Ärzte, die ab Januar damit arbeiten sollen?

In einem Schreiben von Anfang November warnte der Bundesdatenschutzbeauftragte (BfDI) die gesetzlichen Krankenkassen in seinem Zuständigkeitsbereich: Bei Ausgestaltung der elektronischen Patientenakte (ePA) nach den Vorgaben des Patientendatenschutzgesetz (PDSG) würden sie gegen die Datenschutzgrundverordnung (DSGVO) verstoßen.

Der Grund: Nach den gesetzlichen Bestimmungen können Versicherte im ersten Jahr der Akte keine auf einzelne Dateien beschränkte Zugriffsberechtigungen erteilen. Und auch danach gibt es Hürden für die feingranulare Zustimmung: Wer über kein eigenes Endgerät verfügt und keinen Vertreter einsetzen möchte, wird nur ganze Kategorien von Dokumenten freigeben können. Damit verstoßen die Kassen aber gegen die Vorgaben des europäischen Datenschutzrechts.

Für Arztpraxen und Krankenhäuser sind dagegen Landesdatenschutzbehörden zuständig. Diese gehen mit der Bundesbehörde konform, dass die Regelungen zur ePA nicht der DSGVO entsprechen. Klar ist auch, dass dem Gesetz nach die Krankenkassen datenschutzrechtlich für die ePA verantwortlich sind.

> weiterlesen auf medical-tribune.de

Hackerangriff auf Uniklinik Düsseldorf: War der Ausfall der IT-Systeme vermeidbar?

Anfang September wurden 30 Server der Uniklinik Düsseldorf von Hackern lahmgelegt. Die Funktion der Klinik ist heute noch nicht vollständig wiederhergestellt. Ich habe mit Rüdiger Trost von F-Secure gesprochen. Er berät Krankenhäuser zu Sicherheitskonzepten.

Herr Trost, warum hat beim Angriff auf die Uniklinik Düsseldorf eigentlich kein Virenscanner angeschlagen?

Rüdiger Trost: Weil hier zunächst gar kein Trojaner im Einsatz war. Die Hacker haben eine kritische Sicherheitslücke im Programm Citrix NetScaler Gateway genutzt – ein häufig genutztes Programm, auch in Krankenhäusern – und sich in den Wochen zwischen Bekanntwerden der Lücke und ihrem Schließen Zugriff auf das System verschafft. Das geht mit ganz einfachen Mitteln. Über diesen Zugang haben sie sich dann z.B. einen normalen Benutzer angelegt und sich damit im Netzwerk bewegt.

Als die Klinik die Patches eingespielt hat, hätte sie kontrollieren müssen, ob zwischenzeitlich jemand eingedrungen ist.

> weiterlesen auf medical-tribune.de